Nozioni fondamentali sulla sicurezza informatica

Attore della minaccia

Approfondimenti chiave

Un attore di minaccia è un individuo, un gruppo o un'organizzazione che rappresenta un potenziale rischio per la sicurezza dei sistemi informatici, delle reti o dei dati. Questi attori hanno l'intenzione e la capacità di lanciare attacchi informatici, sfruttare vulnerabilità, rubare informazioni o interrompere le normali operazioni. Gli attori di minaccia possono essere singoli hacker, gruppi organizzati di criminali informatici, entità sponsorizzate dallo Stato o collettivi di hacktivisti.

Le minacce informatiche non provengono più da singoli individui isolati, ma sono il prodotto di una serie di entità sofisticate e ben organizzate con obiettivi e capacità diversi.

Tipi di attori che rappresentano una minaccia

Attori sponsorizzati dallo Stato

Al vertice della gerarchia degli attori che rappresentano una minaccia si trovano i gruppi sponsorizzati dagli Stati. Questi attori sono in genere sostenuti dai governi nazionali e dispongono di risorse considerevoli e capacità tecnologiche avanzate. Il loro motivo principale è spesso di natura geopolitica, poiché cercano di ottenere vantaggi strategici rispetto ad altre nazioni. Ciò può includere l'interruzione di infrastrutture critiche, lo spionaggio e l'influenza sulle politiche estere o interne. La sofisticatezza degli attori sponsorizzati dagli Stati li rende particolarmente pericolosi, in grado di eseguire operazioni informatiche complesse e di grande impatto.

Esempi di attori sponsorizzati dallo Stato includono:

APT29 (Cozy Bear): Presumibilmente collegato ai servizi segreti russi, APT29 è stato coinvolto in numerose attività di spionaggio informatico di alto profilo. In particolare, è stato implicato nella fuga di notizie via e-mail del Comitato Nazionale Democratico degli Stati Uniti nel 2016, con l'obiettivo di influenzare le elezioni presidenziali statunitensi.
Unità 61398 dell'Esercito popolare di liberazione (Cina): questo gruppo è ritenuto parte dell'esercito cinese ed è stato accusato di aver condotto attività di spionaggio informatico contro una vasta gamma di obiettivi, principalmente negli Stati Uniti. È noto per le sue tattiche sofisticate e le strategie di infiltrazione a lungo termine, incentrate sul furto di proprietà intellettuale e lo spionaggio industriale.

Gruppi organizzati di criminali informatici

I gruppi organizzati di criminali informatici rappresentano un'altra categoria temibile di autori di minacce. A differenza degli autori sponsorizzati dagli Stati, la loro motivazione principale è il guadagno finanziario. Questi gruppi sono ben strutturati e spesso operano come aziende, utilizzando strumenti e tecniche avanzate per eseguire furti informatici su larga scala, frodi e attacchi ransomware. La professionalità e l'intraprendenza di questi gruppi li rendono una minaccia persistente sia per le aziende che per i privati.

Esempi di gruppi criminali informatici organizzati includono:

Gruppo Lazarus: associato alla Corea del Nord, questo gruppo è noto per le sue attività di criminalità informatica finalizzate al guadagno finanziario. È stato implicato nell'attacco hacker alla Sony Pictures del 2014 e nella rapina alla Banca del Bangladesh del 2016, che ha comportato un tentativo di furto di oltre 850 milioni di dollari.
FIN7: un gruppo di criminali informatici altamente sofisticato e organizzato, noto per aver preso di mira i settori della vendita al dettaglio, della ristorazione e dell'ospitalità, principalmente negli Stati Uniti. È riuscito a rubare milioni di numeri di carte di credito, principalmente attraverso sofisticate phishing e malware .

Hacktivisti

L'hacktivismo è una combinazione unica di hacking e attivismo, il cui obiettivo principale è promuovere cambiamenti politici o sociali. Gli hacktivisti utilizzano le loro competenze per lanciare attacchi informatici contro organizzazioni o governi che ritengono immorali o ingiusti. Le loro attività possono variare dalla defacciatura di siti web al lancio di attacchi Distributed Denial of Service (DDoS), tutti volti ad attirare l'attenzione sulla loro causa o a interrompere le operazioni dei loro obiettivi.

Esempi di hacktivisti includono:

Anonymous: forse il gruppo di hacktivisti più famoso, Anonymous è un collettivo decentralizzato noto per aver lanciato attacchi informatici contro siti web governativi, religiosi e aziendali. È stato coinvolto in varie azioni, dall'abbattimento dei siti web della Chiesa di Scientology al lancio di operazioni contro l'ISIS.
LulzSec: gruppo nato da Anonymous, LulzSec era noto per i suoi attacchi di alto profilo, spesso condotti per "il gusto di farlo" (lulz, risate) piuttosto che per motivi politici. Ha attaccato diverse organizzazioni importanti, tra cui la CIA e la Sony Pictures, e ha una reputazione per il suo approccio sfacciato e le provocazioni pubbliche nei confronti delle sue vittime.

Minacce interne

Le minacce interne provengono da individui all'interno di un'organizzazione che abusano del proprio accesso per danneggiare l'organizzazione stessa. Questi possono essere dipendenti, appaltatori o partner commerciali. Le minacce interne possono essere intenzionali (come nel caso di dipendenti scontenti che cercano vendetta) o accidentali (come nel caso di dipendenti che compromettono inconsapevolmente la sicurezza per negligenza). La profonda conoscenza dei sistemi e dei processi dell'organizzazione da parte dell'insider rende questo tipo di minaccia particolarmente difficile da contrastare.

Esempi di minacce interne includono:

Chelsea Manning: analista dell'intelligence dell'esercito statunitense che ha divulgato un gran numero di documenti riservati a WikiLeaks. Questo incidente ha messo in luce il potenziale rischio di violazioni massive dei dati da parte di persone interne che hanno accesso a informazioni sensibili.
Edward Snowden: ex collaboratore della NSA che nel 2013 ha divulgato informazioni riservate dell'Agenzia per la Sicurezza Nazionale (NSA). Le sue rivelazioni sulle pratiche di sorveglianza della NSA hanno portato all'attenzione mondiale i rischi associati alle minacce interne, in particolare nelle organizzazioni di intelligence.

Motivi alla base degli attacchi informatici

Gli autori delle minacce hanno diverse motivazioni che spingono le loro attività. Alcuni motivi comuni includono:

Spionaggio (aziendale e governativo)

Il cyber spionaggio è una questione cruciale sia per le aziende che per i governi. Gli attori coinvolti nello spionaggio cercano di rubare informazioni sensibili, che vanno dai dati governativi riservati ai segreti commerciali nel mondo aziendale. Il motivo è quello di ottenere un vantaggio competitivo o strategico, sia nell'arena geopolitica che nel settore aziendale.

Guadagno finanziario

Il motivo più evidente nel mondo della criminalità informatica è il guadagno economico. Ciò include il furto diretto di fondi, violazioni dei dati che portano alla vendita di informazioni riservate e attacchi ransomware in cui gli aggressori richiedono un pagamento in cambio del ripristino dell'accesso a dati o sistemi critici.

Distruzione e devastazione

Alcuni attacchi informatici mirano a causare interruzioni o addirittura distruzione. Ciò è particolarmente comune tra gli attori sponsorizzati dallo Stato e gli hacktivisti. Questi attacchi possono prendere di mira infrastrutture nazionali critiche, interrompere i servizi o, in alcuni casi, causare danni fisici. Il motivo può variare dall'indebolimento di un rivale geopolitico alla protesta contro determinate politiche o azioni.

Reputazione e influenza

Un ambito che desta crescente preoccupazione è quello degli attacchi informatici volti a manipolare l'opinione pubblica o a danneggiare la reputazione di un'organizzazione. Ciò può includere la diffusione di disinformazione, la manipolazione degli algoritmi dei social media o gli attacchi all'integrità di entità giornalistiche o politiche. L'obiettivo in questo caso è influenzare la percezione pubblica o compromettere l'armonia sociale.

Come individuare gli autori delle minacce con Vectra AI?

Vectra AI funzionalità preziose per rilevare gli autori delle minacce all'interno della rete di un'organizzazione. Ecco come Vectra AI a rilevare gli autori delle minacce:

Analisi comportamentale: Vectra AI analisi comportamentali avanzate e algoritmi di apprendimento automatico per stabilire una linea di base del comportamento normale per utenti, dispositivi e applicazioni all'interno della rete. Successivamente, monitora continuamente le attività anomale che potrebbero indicare la presenza di un attore minaccioso. Le deviazioni dal comportamento normale, come tentativi di accesso non autorizzati, movimenti laterali o esfiltrazione di dati, possono attivare avvisi per ulteriori indagini.
Monitoraggio in tempo reale: Vectra AI monitora Vectra AI il traffico di rete, gli endpoint e cloud in tempo reale. Analizzando i pacchetti di rete, i log e i metadati, identifica modelli, indicatori di compromissione e attività sospette associate agli autori delle minacce. Questo monitoraggio continuo consente il rilevamento tempestivo delle attività dannose e riduce il tempo di permanenza degli autori delle minacce all'interno della rete.
Integrazione delle informazioni sulle minacce: Vectra AI con feed esterni di informazioni sulle minacce per arricchire le proprie capacità di rilevamento. Correlando le attività di rete con indicatori noti di compromissione e comportamenti degli autori delle minacce, Vectra AI identificare tattiche, tecniche e procedure (TTP) specifiche associate agli autori delle minacce. Questa integrazione migliora l'accuratezza del rilevamento e consente l'identificazione proattiva di potenziali minacce.
Rilevamento e risposta automatizzati: Vectra AI il rilevamento delle minacce e fornisce avvisi in tempo reale ai team di sicurezza. Questi avvisi includono informazioni contestuali sulle attività rilevate, consentendo indagini rapide e mirate. Inoltre, Vectra AI integrarsi con piattaforme di orchestrazione, automazione e risposta della sicurezza (SOAR) per automatizzare le azioni di risposta, come l'isolamento dei dispositivi compromessi o il blocco delle comunicazioni dannose.
Funzionalità di ricerca delle minacce: Vectra AI ai team di sicurezza di condurre attività proattive di ricerca delle minacce. Offre un'interfaccia intuitiva con visualizzazioni interattive e funzionalità di ricerca, consentendo agli analisti di esplorare le attività di rete, creare query personalizzate e indagare sui potenziali comportamenti degli autori delle minacce. Questa funzionalità consente agli analisti di cercare minacce nascoste, identificare minacce persistenti avanzate (APT) e raccogliere ulteriori informazioni sugli autori delle minacce.
Supporto alla risposta agli incidenti: in caso di presenza confermata di un autore di minacce, Vectra AI un prezioso supporto alle attività di risposta agli incidenti. Offre analisi forensi dettagliate e retrospettive, consentendo ai team di sicurezza di tracciare le azioni degli autori delle minacce, comprendere l'entità della compromissione e valutare l'impatto sull'organizzazione. Queste informazioni aiutano nel contenimento, nella risoluzione e nell'analisi post-incidente.

Altri fondamenti della sicurezza informatica

Domande frequenti

Che cos'è un attore di minaccia nella sicurezza informatica?

Un attore di minaccia è qualsiasi individuo, gruppo o organizzazione che rappresenta un potenziale rischio per i sistemi informatici, le reti o i dati. Queste entità hanno sia l'intenzione che la capacità di lanciare attacchi informatici, sfruttare vulnerabilità o rubare informazioni sensibili. Gli attori di minaccia vanno dai singoli hacker a sofisticati gruppi statali, ciascuno con diversi livelli di risorse e competenze tecniche.

Quali sono i principali tipi di autori delle minacce?

Esistono quattro tipi principali di attori che rappresentano una minaccia per la sicurezza informatica:

Attori sponsorizzati dallo Stato: gruppi sostenuti dal governo con risorse sostanziali che perseguono obiettivi geopolitici
Criminali informatici organizzati: collettivi motivati da interessi finanziari che operano con strutture simili a quelle aziendali
Hacktivisti: attori motivati da ragioni politiche o sociali che conducono operazioni di disturbo per cause ideologiche.
Minacce interne: dipendenti, appaltatori o partner che abusano del proprio accesso all'organizzazione, intenzionalmente o per negligenza.

Qual è la differenza tra un autore di minacce e un hacker?

Il termine "autore di minacce" è un concetto più ampio che comprende chiunque rappresenti un rischio per la sicurezza informatica, mentre il termine "hacker" si riferisce specificatamente a qualcuno che possiede le competenze tecniche necessarie per violare i sistemi. Tutti gli hacker malintenzionati sono autori di minacce, ma non tutti gli autori di minacce sono hacker. Ad esempio, un dipendente negligente che espone accidentalmente dati sensibili è un autore di minacce, ma non un hacker. Gli autori di minacce possono anche includere coloro che finanziano attacchi, pianificano operazioni o reclutano talenti tecnici senza eseguire essi stessi l'hacking.

Cosa sono gli attori di minaccia degli Stati-nazione?

Gli attori che rappresentano una minaccia per gli Stati nazionali sono entità sostenute dai governi che conducono operazioni informatiche per scopi geopolitici. Questi gruppi dispongono in genere di risorse considerevoli, capacità tecniche avanzate e accesso costante agli obiettivi. Esempi degni di nota includono APT29 (Cozy Bear), collegato all'intelligence russa e responsabile della violazione del DNC del 2016, e l'Unità 61398 cinese, nota per il furto di proprietà intellettuale da aziende occidentali. Gli attori statali prendono di mira tipicamente agenzie governative, appaltatori della difesa, infrastrutture critiche e industrie strategiche.

Cosa motiva gli autori delle minacce informatiche?

Gli autori delle minacce informatiche sono spinti da quattro motivazioni principali:

Spionaggio: furto di informazioni riservate, segreti commerciali o dati proprietari per ottenere un vantaggio competitivo o nazionale.
Guadagno finanziario: generare entrate attraverso richieste di riscatto, furti diretti, vendita di dati rubati o schemi fraudolenti.
Interruzione: prendere di mira infrastrutture critiche, operazioni aziendali o servizi per causare il caos o dimostrare la propria capacità
Danno alla reputazione: condurre campagne di disinformazione, divulgare dati riservati o manipolare l'opinione pubblica per danneggiare la credibilità di un'organizzazione.

Quali sono alcuni esempi di noti autori di minacce?

Diversi gruppi di autori di minacce hanno acquisito notorietà per attacchi di alto profilo:

Lazarus Group: gruppo nordcoreano sponsorizzato dallo Stato responsabile dell'attacco hacker alla Sony Pictures nel 2014 e del ransomware WannaCry.
APT29 (Cozy Bear): gruppo legato all'intelligence russa responsabile dell'attacco alla catena di approvvigionamento di SolarWinds e della violazione del DNC
FIN7: sofisticata organizzazione criminale informatica che prende di mira i settori della vendita al dettaglio e dell'ospitalità attraverso phishing
Anonimo: collettivo hacktivista decentralizzato noto per attacchi DDoS e defacement di siti web contro governi e aziende.
LulzSec: gruppo di hacktivisti che ha preso di mira i siti web di Sony, CIA e FBI per motivi ideologici e di pubblicità.

In che modo gli autori delle minacce attaccano solitamente le organizzazioni?

Gli autori delle minacce utilizzano varie tattiche, tecniche e procedure (TTP) per compromettere le organizzazioni:

Ricognizione: raccolta di informazioni sugli obiettivi tramite OSINT, scansione e ingegneria sociale.
Accesso iniziale: ottenere l'accesso tramite phishing , sfruttando vulnerabilità, credenziali rubate o catene di approvvigionamento compromesse.
Stabilire la persistenza: installare backdoor o malware mantenere l'accesso anche dopo il riavvio o l'applicazione di patch
Elevazione dei privilegi: aumento dei diritti di accesso per ottenere il controllo amministrativo sui sistemi
Movimento laterale: spostarsi attraverso la rete per raggiungere risorse preziose e dati sensibili
Esfiltrazione dei dati: furto e trasferimento di informazioni preziose al di fuori dell'organizzazione
Impatto: distribuzione di ransomware, distruzione dei dati o interruzione delle operazioni

Che cos'è un attore di minaccia interna?

Un attore interno è una persona che ha accesso legittimo ai sistemi di un'organizzazione e che abusa di tale accesso per causare danni. Gli attori interni includono dipendenti attuali o ex dipendenti, appaltatori, partner commerciali o chiunque abbia accesso autorizzato alle reti e ai dati. Esistono tre tipi principali:

Insider malintenzionati: rubano intenzionalmente dati, sabotano sistemi o commettono frodi
Insider negligenti: divulgazione accidentale di informazioni sensibili a causa di disattenzione o pratiche di sicurezza inadeguate
Insider compromessi: le loro credenziali vengono rubate da attori esterni che poi utilizzano il loro accesso

Le minacce interne sono particolarmente pericolose perché possono aggirare le difese di sicurezza perimetrali e spesso hanno conoscenza di dove sono archiviati i dati sensibili.

In che modo le organizzazioni individuano gli autori delle minacce?

Le organizzazioni possono individuare gli autori delle minacce attraverso approcci multilivello:

Analisi comportamentale: definizione di linee guida per le attività normali e identificazione di comportamenti anomali che potrebbero indicare una compromissione.
Monitoraggio della rete in tempo reale: analisi continua del traffico di rete alla ricerca di modelli sospetti, comunicazioni di comando e controllo o tentativi di esfiltrazione dei dati.
Integrazione delle informazioni sulle minacce: incorporazione di feed relativi agli autori delle minacce noti, alle loro TTP (tecniche, tattiche e procedure) e agli indicatori di compromissione (IOC).
Orchestrazione della sicurezza e risposta automatizzata (SOAR): automazione dei flussi di lavoro di rilevamento e risposta per identificare e contenere rapidamente le minacce
Ricerca delle minacce: ricerca proattiva delle minacce nascoste che eludono i sistemi di rilevamento automatizzati
Endpoint e rispostaEndpoint (EDR/XDR): monitoraggio endpoint alla ricerca di comportamenti dannosi e fornitura di funzionalità forensi

Come difendersi dagli autori delle minacce informatiche?

La difesa contro gli autori delle minacce richiede una strategia di sicurezza completa:

Gestione delle patch e delle vulnerabilità: aggiornamento regolare dei sistemi per eliminare le falle di sicurezza note
Gestione delle identità e degli accessi: implementazione dell'autenticazione a più fattori (MFA) e dei principi di accesso con privilegi minimi
Formazione sulla consapevolezza della sicurezza: istruire i dipendenti a riconoscere phishing e le tattiche di ingegneria sociale
Segmentazione della rete: limitazione dei movimenti laterali tramite l'isolamento dei sistemi critici e dei dati sensibili
Monitoraggio continuo: implementazione di strumenti di rilevamento che identificano le minacce in tempo reale su rete, cloud ed endpoint
Pianificazione della risposta agli incidenti: sviluppo e test di procedure operative standard per contenere e risolvere rapidamente le violazioni
Backup e ripristino: mantenimento di backup offline per il ripristino da ransomware e attacchi distruttivi
Zero trust : verifica di ogni utente e dispositivo prima di concedere l'accesso alle risorse